Исследователи выявляют уязвимости в приложении для голосования

Исследователи выявляют уязвимости в приложении для голосования

В последние годы растет интерес к использованию Интернета и мобильных технологий для расширения доступа к процессу голосования. В то же время эксперты по компьютерной безопасности предупреждают, что бумажные бюллетени являются единственным надежным средством голосования.

Теперь исследователи Массачусетского технологического института поднимают еще одну проблему: они говорят, что обнаружили уязвимости безопасности в мобильном приложении для голосования, которое использовалось во время промежуточных выборов в Западной Вирджинии в 2018 году. Анализ безопасности приложения под названием Voatz выявляет ряд недостатков, в том числе возможность для хакеров изменить, остановить или разоблачить голосование отдельного пользователя. Кроме того, исследователи обнаружили, что использование компанией Voatz стороннего поставщика для идентификации и проверки избирателей создает потенциальные проблемы с конфиденциальностью для пользователей.

Полученные результаты описаны в новом техническом документе Майкла Спектера, аспиранта факультета электротехники и компьютерных наук (EECS) Массачусетского технологического института и члена Инициативы по исследованию политики интернета Массачусетского технологического института, и Джеймса Коппела, также аспиранта в EECS. Исследование проводилось под руководством Даниэля Вайцнера, главного научного сотрудника Лаборатории компьютерных наук и искусственного интеллекта MIT (CSAIL) и директора-основателя Инициативы по исследованию политики Интернета.

После обнаружения этих уязвимостей безопасности исследователи раскрыли свои выводы Агентству по кибербезопасности и инфраструктуре Министерства внутренних дел (CISA). Исследователи, наряду с Бостонским университетом / Технологической юридической клиникой Массачусетского технологического института, работали в тесной координации с должностными лицами по обеспечению безопасности выборов в CISA, чтобы гарантировать, что пострадавшие должностные лица выборов и поставщик знали о результатах до того, как исследование было обнародовано. Это включало в себя подготовку письменных резюме результатов с проверочным кодом и прямые обсуждения с должностными лицами, участвующими в выборах, по звонкам, организованным CISA.

Помимо использования на выборах в Западной Вирджинии в 2018 году, приложение было развернуто на выборах в Денвере, Орегоне и Юте, а также на Массачусетской демократической конвенции 2016 года и Республиканской конвенции Юты 2016 года. Воатц не использовался во время собраний в Айове в 2020 году.

Читайте также

  • Apple, по слухам, выпустит обновленный iPhone 8 с обновленными характеристиками в марте следующего года.
    Этой осенью Apple планирует выпустить три новые модели «iPhone 11», которые станут преемниками iPhone XR, iPhone XS и iPhone XS Max. Однако в новых сообщениях утверждается, что Apple может также представить дополнительные устройства, предназначенные ...
  • Замена Модуля Wi Fi В Ноутбуке Asus
    Смена Wi-Fi модуля ноутбука ASUSКогда техника не стала ловить беспроводной сигнал, отсутствует подключение к сети, приносите ее в сервисный центр. Срочно и относительно дешево установим исправный Wi-Fi адаптер с официальной гарантией на проведенные р...
  • Как правильно подключить HDMI к телевизору
    Как подключить телевизор к компьютеру через HDMI Как подключить телевизор к компьютеру через HDMI, но чтобы изображение дублировалось на мониторе компьютера, другими словами, нужно ли вам изображение на мониторе и телевизореУ меня есть большая коллек...
  • Как Установить Форк Плеер На Телевизор Самсунг
    ForkPlayer – это приложение для телевизоров и других электрических устройств, поддерживающих функцию Smart TV. Используя этого проигрывателя юзеры быть отыскивать и глядеть видео, находящиеся в открытом доступе в сети.Иначе говоря, плеер позволяет бе...
  • В Uber India добавлены новые функции безопасности: проверка PIN-кода, RideCheck и встроенная аудиозапись,
    Функция безопасности «RideCheck» позволит Uber отмечать определенные нарушения маршрута, такие как длительные, неожиданные остановки или падения на полпути. Uber сказал, что он запустит аудиозапись на индийском рынке позже в этом году Uber в четверг ...
  • Как поставить песню на телефон iPhone
    Как поставить песню на рингтон iPhoneСтандартные мелодии довольно раздражают и утомляют. в любом случае, большинство людей реагируют на основные мелодии таким образом. Вот почему мы очень любим размещать наши любимые мелодии и лучшие мелодии, когда в...

Полученные данные подчеркивают необходимость прозрачности при проектировании систем голосования, считают исследователи.

«Мы все заинтересованы в расширении доступа к избирательному бюллетеню, но чтобы сохранить доверие к нашей избирательной системе, мы должны обеспечить, чтобы системы голосования соответствовали высоким техническим и эксплуатационным стандартам безопасности, прежде чем они будут введены в действие». говорит Вайцнер. «Мы не можем экспериментировать на нашей демократии».

«Консенсус экспертов в области безопасности заключается в том, что проведение безопасных выборов через Интернет сегодня невозможно». добавляет Коппел. «Причина заключается в том, что слабые места в любой крупной цепи могут оказать противнику чрезмерное влияние на выборы, а современное программное обеспечение настолько шатко, что существование неизвестных уязвимостей, которые могут быть использованы, является слишком большим риском для принятия».

Разбивая результаты

Первоначально исследователи были вдохновлены на проведение анализа безопасности Voatz на основе исследований Spectre с Рональдом Ривестом, профессором института в MIT; Неха Нарула, директор Инициативы по цифровой валюте MIT; и Sunoo Park SM ’15, Ph.D. 18, исследуя возможность использования систем блокчейна на выборах. По словам исследователей, Voatz утверждает, что использует разрешенную цепочку блоков для обеспечения безопасности, но не выпустил никакого исходного кода или общедоступной документации о том, как работает их система.

Spectre, который является одним из преподавателей курса MIT Independent Activity Period, основанного Koppel и специализирующегося на программном обеспечении для обратного инжиниринга, поделился идеей применения обратного инжиниринга Voatz, чтобы лучше понять, как работает его система. Чтобы гарантировать, что они не вмешиваются в какие-либо текущие выборы и не выставляют пользовательские записи, Spectre и Koppel разработали приложение заново, а затем создали модель сервера Voatz.

Они обнаружили, что злоумышленник с удаленным доступом к устройству может изменить или обнаружить голос пользователя, и что сервер, если его взломать, может легко изменить эти голоса. «Похоже, что протокол приложения не пытается проверить [подлинные голоса] с помощью внутренней цепочки блоков». объясняет Призрак.

«Возможно, наиболее тревожно то, что мы обнаружили, что противник пассивной сети, такой как ваш интернет-провайдер или кто-то рядом с вами, если вы используете незашифрованный Wi-Fi, может определить, каким образом вы проголосовали в некоторых конфигурациях выборов. Хуже, более агрессивно злоумышленники потенциально могут определить, каким образом вы собираетесь голосовать, а затем прекратить соединение, основываясь только на этом ».

В дополнение к обнаружению уязвимостей в процессе голосования Voatz, Spectre и Koppel обнаружили, что приложение создает проблемы конфиденциальности для пользователей. Поскольку приложение использует внешнего поставщика для проверки личности избирателя, третья сторона может получить доступ к фотографии избирателя, данным водительских прав или другим формам идентификации, если платформа этого поставщика также не защищена.

Читайте также

  • Настройте свой новый Google Nest Hub или Nest Hub Max следующим образом.
    Кто-то подарил вам смарт-дисплей Google Nest Hub сегодня? Быстро подключите его к вашему умному дому с этим кратким руководством.7-дюймовый Google Nest Hub. отличное устройство для запуска по другому расширения настроек умного дома Google Home, особе...
  • Galaxy S10 заслуживает вашего внимания, а не Samsung Galaxy Note 10 — вот почему
    GALAXY S10 утратит свое звание новейшего флагмана Samsung, когда фирма выпустит Galaxy Note 10 в следующем месяце. Тем не менее, серия телефонов остается невероятно способной, и именно поэтому она заслуживает вашего внимания, а не грядущего фаблета т...
  • Как На Samsung Galaxy J3 Сохранять
    Со временем на Android устройстве накапливается большое количество приложений и игр. По умолчанию, все они хранятся во внутренней памяти вашего телефона, смартфона или планшета. И если не сохранять эти приложения на карту памяти, то место во внутренн...
  • Вход в личный кабинет Contour по номеру телефона
    Личный кабинет ОФД КонтураСКБ Контур. российская компания по разработке программного обеспечения для электронного обмена документами, управления предприятием и бухгалтерского учета. Деятельность осуществляется в разных направлениях, поэтому удобно ра...
  • Этот воздухоочиститель обещает предложить защиту от коронавируса (Covid 19)
    Коронавирус, официально известный как COVID-19, стал серьезным кризисом в области здравоохранения во всем мире. Данные предполагают, что 14 689 человек уже погибли от смертельного вируса до настоящего времени. 225 270 активных COVID-19 в мире в насто...
  • Удаленное Управление Планшетом С Компьютера Полностью
    Управлять планшетом с ПК конечно несколькими способами. Тут все зависит от правильного подбора студии, как вам удобней, и так же для чего необходимо лазить по планшету с компа. Первый способ — установить на планшет программу Remote Web Desktop, и под...

«Хотя политика конфиденциальности Voatz действительно говорит об отправке некоторой информации третьим сторонам, насколько мы можем сказать, что любая третья сторона получает водительские права и селфи прямо не упоминаются». отмечает Спектер.

Призывы к повышенной открытости

Призрак и Коппел говорят, что их результаты указывают на необходимость открытости, когда дело доходит до избирательной администрации, чтобы гарантировать целостность избирательного процесса. В настоящее время они отмечают, что избирательный процесс в штатах, где используются бумажные бюллетени, должен быть прозрачным, и гражданам и представителям политических партий предоставляется возможность наблюдать за процессом голосования.

В отличие от этого, отмечает Коппел, «приложение и инфраструктура Voatz были полностью закрытыми, мы смогли получить доступ только к самому приложению».

«Я думаю, что этот тип анализа чрезвычайно важен. Сейчас существует стремление сделать голосование более доступным, используя интернет и мобильные системы голосования. Проблема здесь в том, что иногда эти системы создаются не людьми, которые имеют опыт. в обеспечении безопасности систем голосования, и они развернуты прежде, чем смогут получить надлежащую проверку ». говорит Мэтью Грин, доцент Института информационной безопасности Джонса Хопкинса В случае с Voatz он добавляет: «Похоже, здесь было много добрых намерений, но в результате отсутствуют ключевые функции, которые бы защищали избирателя и защищали честность выборов».

В дальнейшем исследователи предупреждают, что разработчики программного обеспечения должны доказать, что их системы так же безопасны, как бумажные бюллетени.

«Самая большая проблема. это прозрачность». говорит Призрак. «Когда у вас есть часть выборов, которая непрозрачна, недоступна для просмотра, не является публичной, имеет какой-то запатентованный компонент, эта часть системы по своей сути подозрительна и должна подвергаться тщательному контролю».

You may also like